2021年8月17日,國務院正式公佈中華人民共和國《關鍵資訊基礎設施安全保護條例》,該條例2021年9月1日起正式施行。
一、做好關鍵資訊基礎設施安全保障是安全從業者的責任
關鍵資訊基礎設施安全關乎國家安全、國計民生、公共利益,是實現中華民族偉大復興,全面建成社會主義現代化強國的重要保障。做好關鍵資訊基礎設施安全保障不僅僅是運營者、監管者的責任,更是所有網路安全從業者的責任。尤其在當下關鍵時期,我國的崛起影響到了某些科技強國的霸權地位,在網路空間的對抗註定將更加嚴峻,關鍵資訊基礎設施的控制權可謂重中之重。
如何有效保障關鍵資訊基礎設施的安全、以及如何認定關鍵資訊基礎設施,一直是關係關鍵資訊基礎設施行業發展的首要問題。《關鍵資訊基礎設施安全保護條例》給了我們依據。學習和踐行該條例將其應用在日常安全防護工作中,是我們網路安全企業的責任。只有規範化、標準化的防禦體系才能充分發揮各方優勢形成合力,有效保護關鍵資訊基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵資訊基礎設施安全的違法犯罪活動,保障我國社會主義現代化強國建設。
二、《關鍵資訊基礎設施安全保護條例》為網路安全企業發展指明瞭方向
《關鍵資訊基礎設施安全保護條例》一共6章51條,從網路安全企業視角來看,其解答了關鍵資訊基礎設施如何認定、運營者的責任和義務,以及如何配合國家相關主管部門開展關鍵資訊基礎設施的保護工作。《關鍵資訊基礎設施安全保護條例》是加強關鍵資訊基礎設施企業網路安全防護的重要依據和準則,部署明確了開展相關安全防護、檢查檢測、安全應急、資訊共享,以及配合完成保護工作部門的監測、預警、通報等工作。透過對《關鍵資訊基礎設施安全保護條例》學習和認識,作為網路安全企業,需要重點關注以下三個方面內容。
(一)強化對關鍵資訊基礎設施企業的服務支撐
一是提供更加優質、合規的關鍵資訊基礎設施認定服務。依照《關鍵資訊基礎設施安全保護條例》協助關鍵資訊基礎設施企業運營者梳理資訊基礎設施中關鍵核心業務及其重要程度,分析其中涉及到的網路設施和資訊系統,再面向實戰攻防技術運用沙盤分析等方式協助運營者推斷出這些網路資訊系統一旦遭到破壞後可能帶來的危害程度和關聯性影響,從而進行關鍵資訊基礎設施認定。
二是提供更為契合國家安全戰略的關鍵資訊基礎設施安全產品。透過《關鍵資訊基礎設施安全保護條例》應認識到關鍵資訊基礎設施的安全不僅是企業級的安全需求,更是國家級的安全需求,乃至全社會的安全需求。因此對關鍵資訊基礎設施安全的防護產品也應不再侷限於獨自提供安全能力,而應是可融入到國家大安全框架下的安全能力元件,例如支援多方情報接入和共享,是對現有安全產品的一種升級趨勢。
三是提供全場景、可信任、實戰化的關鍵資訊基礎設施安全綜合保障服務。參照《關鍵資訊基礎設施安全保護條例》要求,提供的保障服務應以關鍵業務為核心進行整體防控,並以風險管理為導向進行動態防護,實現聚焦保護關鍵業務鏈所關聯的網路、系統、服務等全場景、可信任,攻防實戰化的網路安全保障。
(二)強化對關鍵資訊基礎設施主管部門的保障支援
一是做好面向關鍵資訊基礎設施行業、領域的網路安全監測技術支撐工作。依照《關鍵資訊基礎設施安全保護條例》要求,做好全天候、全方位、立體化、精確化、智慧化的關鍵資訊基礎設施行業級的網路安全監測技術支援,依據關鍵資訊基礎設施行業網路安全監測預警制度,協助保護工作部門完成關鍵資訊基礎設施的安全監測、預警通報等工作。
二是做好精準威脅情報和安全資訊共享的資訊支撐性工作。依照《關鍵資訊基礎設施安全保護條例》要求,積極向國家網信部門、保護工作部門提供涉及網路安全威脅、漏洞、事件等情報資訊,透過技術建模研判,協助主管部門識別在不同行業關鍵資訊基礎設施場景中的安全異常,鎖定攻擊者和攻擊活動,對網路威脅進行確認、溯源和取證。
三是做好面向關鍵資訊基礎設施安全人才缺口的服務性支撐工作。依照《關鍵資訊基礎設施安全保護條例》要求,積極開展面向關鍵資訊基礎設施安全人才的培養工作,建立健全人才培養課程體系,配合主管部門注重培養實戰性人才,基於真實攻防案例加大力度開發更多的實戰化應急演練服務。
(三)強化關鍵資訊基礎設施安全保護和服務意識
一是強化合規意識。如果發現服務的關鍵資訊基礎設施企業還未達到國家網路安全等級保護要求,應主動提醒運營者優先完成等保建設;在開展關鍵資訊基礎設施前,還應關注涉及行業和領域的主管部門、監督管理部門釋出的其他相關關鍵資訊基礎設施保護的法律和行政法規。
二是強化保密意識。在服務關鍵資訊基礎設施企業的過程中,應主動與關鍵資訊基礎設施運營企業簽訂保密協議,並制定相應規範約束服務人員保障關鍵資訊基礎設施企業涉及的網路系統安全資訊不對外洩露。
三是強化守法意識。在未獲得國家網信部門、國務院公安部門批准或者保護工作部門、運營者授權的情況下,堅決不對關鍵資訊基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵資訊基礎設施安全的活動。
三、綠盟科技智慧安全3.0體系保障關鍵資訊基礎設施安全
關鍵資訊基礎設施安全問題常與政治、軍事、社會、經濟等一系列問題交織在一起,高階持續性攻擊常態化,綠盟科技基於多年的網路安全攻防實踐經驗,釋出了智慧安全3.0體系,緊貼關鍵資訊基礎設施安全保護要求,提出構建“全場景、可信任、實戰化”的安全運營能力,為關鍵資訊基礎設施網路安全保駕護航。
(一)全場景覆蓋
關鍵資訊基礎設施作為經濟社會執行的神經中樞,需要在貫徹落實《關鍵資訊基礎設施安全保護條例》制度的基礎上進行重點保護。在綠盟科技智慧安全3.0體系中,“全場景”的概念不僅意味著可以覆蓋大資料、雲平臺、物聯網、工業控制系統、5G等新型基礎設施場景,還可以有效應對針對關鍵資訊基礎設施人員鏈、業務鏈、供應鏈等因素引起的關聯式深度威脅。不管是來自資訊系統外部攻擊,還是面向核心業務鏈的威脅,甚至是內部無意識的濫用,綠盟科技“全場景”安全防護,都可以保障客戶網路安全的無死角覆蓋,保障關鍵資訊基礎設施的業務鏈安全。
圖1 綠盟全場景安全覆蓋能力
(二)可信任機制
關鍵資訊基礎設施強調對重要資料和個人資訊的保護,在傳統邊界安全保護的基礎上,需要透過採取身份鑑別、訪問控制、密碼保護、安全審計、可信驗證等關鍵技術,來切實保護重要資料全生命週期安全。無論是針對資料的安全訪問機制問題,還是針對產品和服務的供應鏈保障問題,本質上反映的是對關鍵資訊基礎設施安全的一種信任需求。綠盟科技智慧安全3.0體系提出“可信任”的要求,就是從根本上回應關鍵資訊基礎設施運營者在信任層面的憂慮,推出了一系列面向關鍵資訊基礎設施運營客戶的可信高質量的產品;透過對資料安全、零信任等技術的研究,證明了綠盟科技具備在資料安全可信方面的前沿技術能力。
圖2 綠盟零信任安全解決方案
(三)實戰化保障
網路空間安全的本質是攻防對抗,而對抗的核心是攻防兩端的能力較量,關鍵資訊基礎設施更是如此。在關鍵資訊基礎設施安全防禦的陣地上,如何收斂資產暴露面,如何佈設蜜罐誘捕,如何進行專項APT監測分析,如何系統全面地分析攻擊者的攻擊意圖、技術與過程,實現對網路攻擊的誘捕、溯源、干擾和阻斷等多方面防禦呢?綠盟科技智慧安全3.0體系提出“實戰化”的要求,作為檢驗安全技術與產品能力轉化的基本要求,面向關鍵資訊基礎設施運營單位開展圍繞安全演練、安全運營、常態化威脅情報分析等服務,以實戰為導向,幫助關鍵資訊基礎設施企業達到網路安全“全面防護、智慧分析和自動響應”的一體化防護效果。建立健全有力的網路安全應急響應機制和攻防一體化的協同保障體系,將攻防對抗知識透過培訓賦能、演練驗證,全力提高關鍵資訊基礎設施應對重大安全事件的“韌性”,在發生重大事件時能夠實現由常態化安全運營向戰時應急的迅速轉換,達到平戰結合一體化。
圖3 綠盟攻防演習體系框架